$16 ataque mostra como é fácil portadores de fazê-lo para interceptar mensagens de texto
Em um novo artigo intitulado “Um Hacker Tenho Todos os Meus Textos para us $16,” Vice-repórter José Cox detalhada de como o white-hat hacker—um funcionário de um fornecedor de segurança—foi capaz de redirecionar todas as suas mensagens de texto e, em seguida, invadir contas online que dependem de textos para autenticação.
este não foi um golpe de troca de SIM, no qual” hackers enganam ou subornam funcionários de telecomunicações para portar o número de telefone de um alvo para seu próprio cartão SIM”, escreveu Cox. “Em vez disso, o hacker usou um serviço de uma empresa chamada Sakari, que ajuda as empresas a fazer marketing por SMS e mensagens em massa, para redirecionar minhas mensagens para ele.”
este método enganou o T-Mobile para redirecionar as mensagens de texto de Cox de uma forma que pode não ter sido facilmente aparente para um usuário desavisado. “Ao contrário do sim jacking, onde uma vítima perde totalmente o serviço de celular, meu telefone parecia normal”, escreveu Cox. “Exceto que eu nunca recebi as mensagens destinadas a mim, mas ele fez.”
o hacker, que atende pelo monônimo “Lucky225”, é diretor de Informações da Okey Systems, um fornecedor de segurança. “Usei um cartão pré-pago para comprar um plano de US $ 16 por mês e, depois disso, deixei-me roubar números apenas preenchendo informações LOA com informações falsas”, disse o funcionário da Okey a Cox. O ” LOA ” é “uma carta de Autorização, um documento dizendo que o signatário tem autoridade para mudar os números de telefone”, escreveu Cox.”Poucos minutos depois que eles inseriram meu número T-Mobile em Sakari, começaram a receber mensagens de texto destinadas a mim”, escreveu Cox. “Não recebi nenhuma chamada ou notificação de texto da Sakari pedindo para confirmar que meu número seria usado por seu serviço. Eu simplesmente parei de receber textos.”
depois de obter acesso às mensagens de Cox, “o hacker enviou solicitações de login para Bumble, WhatsApp e Postmates e acessou facilmente as contas”, disse o artigo.”Quanto a como Sakari tem essa capacidade de transferir números de telefone, Nohl da Security Research Labs disse: ‘Não há protocolo global padronizado para encaminhar mensagens de texto para terceiros, então esses ataques dependeriam de acordos individuais com telcos ou hubs de SMS'”, escreveu Cox.
enquanto Cox é um usuário T-Mobile, o hacker disse a ele que a “operadora não importa… É basicamente o velho oeste.”
CTIA: as operadoras agora tomam”medidas de precaução”
Okey oferece uma ferramenta para monitorar alterações maliciosas no serviço móvel de um usuário. “Inscreva-se em nosso beta gratuito e monitoraremos comunicações fora da banda, como suas rotas e configurações da operadora. Se ocorrer um evento malicioso, alertaremos você por meio de formas alternativas de comunicação confiável”, diz a empresa.
os próprios portadores podem ser capazes de parar esse tipo de ataque no futuro. A T-Mobile, a Verizon e a&t referiram Cox à CTIA, a Associação Comercial que representa as principais operadoras de telefonia móvel. CTIA disse Cox:
depois de tomar conhecimento dessa ameaça potencial, trabalhamos imediatamente para investigá-la e tomamos medidas de precaução. Desde então, nenhuma operadora conseguiu replicá-lo. Não temos nenhuma indicação de qualquer atividade maliciosa envolvendo a ameaça potencial ou que quaisquer clientes foram afetados. A privacidade e a segurança do consumidor são nossa principal prioridade, e continuaremos a investigar esse assunto.
essa Declaração não diz exatamente quais medidas de precaução as transportadoras tomaram para evitar o ataque. Entramos em contato com a T-Mobile e a CTIA hoje e atualizaremos este artigo se recebermos mais alguma informação.
Sakari também aparentemente atualizou a segurança. Sakari co-fundador Adam Horsman disse Cox que Sakari tem, pois estar ciente do ataque, “atualizado a nossa hosted messaging processo de pegar esse no futuro” e “, adicionou um recurso de segurança na qual um número irá receber um sistema automatizado de chamada que requer que o usuário enviar um código de segurança de volta para a empresa, para confirmar se eles não tem autorização para transferir esse número.”
entramos em contato com Sakari hoje sobre sua segurança e integração com a T-Mobile e irá actualizar este artigo se temos uma resposta. Enquanto Sakari estava envolvido neste caso, outras empresas de terceiros também podem ter integrações com operadoras que abrem os clientes das operadoras para ataques. As próprias operadoras precisam ter mais cuidado ao dar aos fornecedores terceirizados a capacidade de redirecionar mensagens de texto.
atualizar às 14h48 EDT:Sakari respondeu ao Ars com uma declaração dizendo: “Agora fechamos essa brecha do setor na Sakari e outros provedores de SMS e operadoras devem fazer o mesmo. Quando você carrega um número de celular nos EUA, como uma operadora de comutação de clientes para chamadas de voz, a operadora que você está deixando autoriza a partida do seu número. Não existe esse padrão do setor para transferir a propriedade de mensagens em números de celular. Sakari já vai além dos padrões do setor de verificação para novos clientes e seguiu as Diretrizes de nossa Operadora ao pé da letra, mas à luz desse desenvolvimento, agora adicionamos uma chamada de verificação telefônica a todos os novos números habilitados para texto para que ninguém possa usar Sakari para explorar essa brecha do setor novamente. O SMS é um meio de comunicação extremamente poderoso e, à medida que continua a dominar o cenário de comunicação, receberíamos as melhorias necessárias do setor—tanto operadoras quanto revendedores.”A história de Cox não é o primeiro lembrete sobre a insegurança das mensagens de texto. Ataques de troca de SIM e falhas nos protocolos telefônicos SS7 já tornaram arriscado usar mensagens de texto para autenticação, mas muitos sites e outros serviços online ainda dependem de textos para verificar as identidades dos usuários. Os clientes podem configurar PINs de conta com a T-Mobile e outras operadoras para impedir o acesso não autorizado às suas contas de celular, mas não está claro se isso teria impedido o tipo de ataque que redirecionou as mensagens de texto de Cox.